[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: LDAP Authorisation in Apache



Hi Christian,

> mein Apache authentifiziert Benutzer gegen einen MIT Kerberos; die 
> Authorisation (Gruppenmitgliedschaft) soll über einen OpenLDAP laufen 
> (alles unter Debian Etch mit mitgelieferten Versionen). Nach 
> erfolgreicher Authentifizierung schaut der Apache im LDAP nach, ob der 
> Benutzer "<uid>@<REALM>" existiert. Im LDAP sind die Benutzer 
> allerdings ohne "@<REALM>" angelegt, sodass die Authorisation 
> fehlschlägt.
> 
> (Zur Verifikation, dass dies das einzige Problem ist, habe ich einen 
> Benutzer zusätzlich mit "@<REALM>" Endung angelegt und auch in der 
> Gruppe eingetragen. Die Authorisation war diesmal erfolgreich. 
> Allerdings würde das Eintragen aller Benutzer mit "@<REALM>" Endung 
> sicher zu Problemen an anderen Stellen führen.)
> 
> Zur sauberen Lösung des Problems soll entweder Apache die Anfrage 
> nach "<uid>" an den LDAP stellen oder LDAP "<uid>@<REALM>" wie "<uid>" 
> behandeln. Mit der Option authz-regexp in slapd.conf bin ich nicht 
> glücklich geworden.
> 
> Könnte mir bitte jemand einen Tipp geben?

Du kannst an die Direktive AuthLDAPUrl an das Ende den Parameter ?uid
hängen. So funktioniert es bei mir. Hier meine Anweisungen:

   AuthBasicProvider ldap
   AuthzLDAPAuthoritative off
       AuthType Basic
       AuthLDAPUrl ldap://x.x.x:389/dc=example,dc=com?uid
       AuthLDAPGroupAttribute memberUid
       AuthLDAPGroupAttributeIsDN off
       AuthName "Public Directory"
       require ldap-group cn=public,ou=unix-groups,dc=example,dc=com


Ingo


Reply to: